体系结构概述

本节概述如何在概念验证评估或高可用性生产环境中部署存储区域控制器。高可用性部署展示了使用和不使用DMZ代理(如Citrix ADC)的情况。

要评估具有多个存储区域控制器的部署，请遵循高可用性部署的指导原则。

每个部署场景都需要一个ShareFile Enterprise帐户。默认情况下，ShareFile将数据存储在安全的ShareFile管理的云中。当需要使用私有数据存储(本地网络共享或支持的第三方存储)时，需要为ShareFile data配置存储分区。

为了从网络文件共享或SharePoint文档库安全地将数据传递给用户，请配置存储区域连接器。

存储区域控制器概念部署证明

警告:

概念验证部署仅用于评估目的，不应用于关键数据存储。

概念验证部署使用单个存储区域控制器。本节讨论的示例部署启用了ShareFile Data的存储区域和存储区域连接器。

要评估单个存储区域控制器，您可以选择将数据存储在存储区域控制器的硬盘驱动器上的文件夹(如C:\ZoneFiles)中，而不是存储在单独的网络共享中。所有其他系统需求都适用于评估部署。

标准存储区域的概念验证部署

为标准区域配置的存储区域控制器必须接受来自ShareFile云的入站连接。要做到这一点，控制器必须有一个公开可访问的互联网地址，并启用SSL与ShareFile云通信。如下图所示为用户设备、ShareFile云和存储区域控制器之间的流量。

在这种情况下，Internet和安全网络之间有一个防火墙。存储区域控制器驻留在防火墙内部，以控制访问。到ShareFile的用户连接必须穿越防火墙，并使用端口443上的SSL协议来建立该连接。要支持此连接，必须在防火墙上打开443端口，并在存储区域控制器的IIS服务上安装公共SSL证书。

存储分区控制器高可用部署

对于具有高可用性的ShareFile生产部署，建议的最佳实践是安装至少两个存储分区控制器。安装第一个控制器时，创建存储分区。当您安装其他控制器时，您将它们加入到同一个区域。属于同一分区的存储分区控制器必须使用相同的文件共享进行存储。

在高可用性部署中，辅助服务器是独立的、功能完全的存储区域控制器。存储区域控制子系统随机选择存储区域控制器进行操作。如果主服务器脱机，您可以轻松地将辅助服务器提升为主服务器。您还可以将服务器从主要服务器降级为次要服务器。

标准区域的高可用性部署

为标准存储区域配置的存储区域控制器必须接受来自ShareFile云的入站连接。要做到这一点，每个控制器必须有一个公开可访问的互联网地址，并启用SSL与ShareFile云通信。您可以配置多个外部公共地址，每个地址都与不同的存储区域控制器相关联。下图显示了标准存储区域的高可用性部署。

与上面的概念验证(Proof-of-concept)部署场景类似，一个防火墙位于Internet和安全网络之间。存储区域控制器驻留在防火墙内部以控制访问。到ShareFile的用户连接必须穿越防火墙，并使用端口443上的SSL协议来建立该连接。要支持这种连接，必须在防火墙上打开443端口，并在所有存储区域控制器的IIS服务上安装公共SSL证书。

共享存储配置

属于同一存储区域的存储区域控制器必须使用相同的文件共享进行存储。存储区域控制器使用IIS帐户池用户访问共享。默认情况下，应用程序池在Network Service用户帐户下运行，该帐户具有低级用户权限。存储分区控制器默认使用Network Service帐户。

您可以使用指定的用户帐户而不是Network Service帐户来访问共享。要使用命名用户帐户，请在存储分区控制台配置页面中指定用户名和密码。使用Network Service帐户运行IIS应用程序池和Citrix ShareFile Services。

网络连接

网络连接根据zone - citrix管理的或标准的类型而不同。

Citrix-managed区

下表描述了当用户登录到ShareFile然后从citrix管理的区域下载文档时发生的网络连接。所有的连接都使用HTTPS。

一步	源	目的地
1.用户登录请求	客户端	company.sharefile.com: 443
2.(可选)重定向到SAML IdP登录	客户端	SAML身份提供者URL
3.文件/文件夹枚举和下载请求	客户端	company.sharefile.com: 443
4.文件下载	客户端	storage-location.sharefile.com: 443

标准的存储区

下表描述了用户登录ShareFile并从标准存储区下载文档时发生的网络连接。所有的连接都使用HTTPS。

一步	源	目的地
1.用户登录请求	客户端	company.sharefile.com
2.(可选)如果使用ADFS，重定向到SAML IdP登录	客户端	SAML身份提供者URL
3.文件/文件夹枚举和下载请求	客户端	company.sharefile.com
4.文件下载授权	company.sharefile.com	szc.company.com
5.文件下载	客户端	szc.company.com

存储区域控制器DMZ代理部署

非军事区(DMZ)为内部网络提供额外的安全层。DMZ代理，如Citrix ADC VPX，是一个可选组件，用于:

• 确保所有到存储区域控制器的请求都来自ShareFile云，这样只有经过批准的流量才能到达存储区域控制器。

  存储区域控制器有一个验证操作，用于检查所有传入消息的有效URI签名。DMZ组件负责在转发消息之前验证签名。

• 通过实时状态指示灯对存储分区控制器进行负载均衡。

  如果存储区域控制器都可以访问相同的文件，则可以将操作负载均衡到存储区域控制器。

• 从存储区域控制器卸载SSL。

• 确保在通过DMZ之前对SharePoint或网络驱动器上的文件请求进行了身份验证。

Citrix ADC和存储区域控制器部署

标准存储区域的部署

为标准区域配置的存储区域控制器必须接受来自ShareFile云的入站连接。要做到这一点，Citrix ADC必须有一个公开可访问的互联网地址，并启用SSL与ShareFile云通信。

在这个场景中，Internet和安全网络之间有两个防火墙。存储分区控制器位于内部网络中。到ShareFile的用户连接必须穿越第一个防火墙，并使用端口443上的SSL协议来建立该连接。要支持这种连接，必须在防火墙上打开端口443，并在DMZ代理服务器的IIS服务上安装公共SSL证书(如果它们终止了用户连接)。

标准区域的网络连接

下面的图表和表格描述了当用户登录到ShareFile，然后从部署在Citrix ADC后面的标准区域下载文档时发生的网络连接。在本例中，该帐户使用Active Directory联合服务(ADFS)登录SAML。

身份验证流量由与受信任网络上的ADFS服务器通信的ADFS代理服务器在DMZ中处理。通过DMZ中的Citrix ADC访问文件活动，该ADC终止SSL，对用户请求进行身份验证，然后代表经过身份验证的用户访问受信任网络中的存储区域控制器。ShareFile的Citrix ADC外部地址通过Internet FQDN szc.company.com访问。

一步	源	目的地	协议
1.用户登录请求	客户端	company.sharefile.com	HTTPS
2.(可选)重定向到SAML IdP登录	客户端	SAML身份提供者URL	HTTPS
2 a。ADFS登录	ADFS代理	ADFS服务器	HTTPS
3.文件/文件夹枚举和下载请求	客户端	company.sharefile.com	HTTPS
4.文件下载授权	ShareFile	szc.company.com(外部地址)	HTTP (S)
4 a。文件下载授权	Citrix ADC IP (NSIP)	存储区域控制器	HTTPS
5.文件下载	客户端	szc.company.com(外部地址)	HTTPS
5。文件下载	Citrix ADC IP (NSIP)	存储区域控制器	HTTP (S)

下面的图表和表扩展了前面的场景，以显示StorageZone Connectors的网络连接。这个场景包括在DMZ中使用NetScaler来终止SSL并对连接器访问执行用户身份验证。

一步	源	目的地	协议
1.用户登录请求	客户端	company.sharefile.com	HTTPS
2.(可选)重定向到SAML IdP登录	客户端	SAML身份提供者URL	HTTPS
2 a。ADFS登录	ADFS代理	ADFS服务器	HTTPS
3.顶级连接器枚举	客户端	company.sharefile.com	HTTPS
4.用户登录到存储区域控制器服务器	客户端	szc.company.com(外部地址)	HTTPS
5.用户身份验证	Citrix ADC IP (NSIP)	广告域控制器	LDAP (S)
6.文件/文件夹枚举和上传/下载请求	Citrix ADC IP (NSIP)	存储区域控制器	HTTP (S
7.网络共享枚举和上传/下载	存储区域控制器	文件服务器	CIFS或DFS
7个。SharePoint枚举和上传/下载	存储区域控制器	SharePoint	HTTP (S)

下图根据用户是否进行身份验证总结了受支持的身份验证类型组合。